Best practices
Páginas: 14 (3443 palabras)
Publicado: 9 de agosto de 2010
BEST PRACTICES
El tipo de practica de seguridad a implementar dependerá de las necesidades de cada organización.
DECALOGO DE LAS MEJORES PRACTICAS DE SEGURIDAD
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesosprioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
NO SE PUEDEN IMPLANTAR CONTROLES SIN SABER QUE SE VA APROTEGER
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis deriesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
EN ESTE ANALISIS SE DEBE CONSIDAR LA INFRAESTRUCTURA, EL PROCESO Y EL PERSONAL.
3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías yprácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio.
NO SE DEBE HACER ENFASIS EN ACTIVIDADES QUE REALMENTE NO LE AGREGAN VALOR A LA ORGANIZACION
4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información,los sistemas y los procedimientos de la empresa.
DICHAS POLITICASDEBEN IMPLEMENTARSE Y TRANSMITIRSE A LO LARGO DE TODAS LAS ESCRITURA JERARQUICAS.
5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrirvulnerabilidades.
NO SOLO PARA CREAR EXPERTOS SINO TAMBIEN PARA CONCIENTIZAR A LA ORGANIZACION DEL ESTADO ACTUAL DE LA MISMA.
6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día.Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y conconocimientos en diferentes campos de la misma.
ESTE EQUIPO DEBE TENER AUTONOMIA DEL DEPARTAMENTO DE INFORMATICA PARA NO CAER EN EL DILEMA DE OPERAR O ASEGURAR
7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente aamenazas.
ESTABLECER MAYOR COLABORACION ENTRE QUIENES SE ENCARGAN DE DESARROLLAR APLICACIONES Y EL PERSONAL ENCARGADO DE LAA SEGURIDAD INFORMATICA.
8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, “ya sea de forma cuantitativa o cualitativa (la opinión de los usuarios respecto a esto), porque muchasempresas están utilizando este esquema, pero sin aplicar los controles adecuados” .
LA PERIODICIDADDE ESTAS EVALUACIONES DEPENDERA DE LA IMPORTANCIA DE LA ACTIVIDADQUE DESARROLLA EL SUBCONTRATADO.
9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través demétricas, con las que se evalúe tecnología, procesos y personas.
SIEMPRE QUE SE QUIERA EVALUAR SE ENCUENTRAN MUCHAS ALTERNATIVAS MUY BUENAS Y QUE NO DESESTABILIZAN EL TRABAJO DEL EVALUADO.
10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio.
LA MAYORIA DE...
El tipo de practica de seguridad a implementar dependerá de las necesidades de cada organización.
DECALOGO DE LAS MEJORES PRACTICAS DE SEGURIDAD
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesosprioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
NO SE PUEDEN IMPLANTAR CONTROLES SIN SABER QUE SE VA APROTEGER
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis deriesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
EN ESTE ANALISIS SE DEBE CONSIDAR LA INFRAESTRUCTURA, EL PROCESO Y EL PERSONAL.
3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías yprácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio.
NO SE DEBE HACER ENFASIS EN ACTIVIDADES QUE REALMENTE NO LE AGREGAN VALOR A LA ORGANIZACION
4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información,los sistemas y los procedimientos de la empresa.
DICHAS POLITICASDEBEN IMPLEMENTARSE Y TRANSMITIRSE A LO LARGO DE TODAS LAS ESCRITURA JERARQUICAS.
5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrirvulnerabilidades.
NO SOLO PARA CREAR EXPERTOS SINO TAMBIEN PARA CONCIENTIZAR A LA ORGANIZACION DEL ESTADO ACTUAL DE LA MISMA.
6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día.Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y conconocimientos en diferentes campos de la misma.
ESTE EQUIPO DEBE TENER AUTONOMIA DEL DEPARTAMENTO DE INFORMATICA PARA NO CAER EN EL DILEMA DE OPERAR O ASEGURAR
7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente aamenazas.
ESTABLECER MAYOR COLABORACION ENTRE QUIENES SE ENCARGAN DE DESARROLLAR APLICACIONES Y EL PERSONAL ENCARGADO DE LAA SEGURIDAD INFORMATICA.
8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, “ya sea de forma cuantitativa o cualitativa (la opinión de los usuarios respecto a esto), porque muchasempresas están utilizando este esquema, pero sin aplicar los controles adecuados” .
LA PERIODICIDADDE ESTAS EVALUACIONES DEPENDERA DE LA IMPORTANCIA DE LA ACTIVIDADQUE DESARROLLA EL SUBCONTRATADO.
9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través demétricas, con las que se evalúe tecnología, procesos y personas.
SIEMPRE QUE SE QUIERA EVALUAR SE ENCUENTRAN MUCHAS ALTERNATIVAS MUY BUENAS Y QUE NO DESESTABILIZAN EL TRABAJO DEL EVALUADO.
10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio.
LA MAYORIA DE...
Leer documento completo
Regístrate para leer el documento completo.